C’est dans le Pavillon Royal, au bois de Boulogne, que s’est tenue la quatrième édition de l’Université d’été d’Hexatrust. Ce rendez-vous désormais traditionnel réunit la cinquantaine de membres de l’association et tous les acteurs de la cybersécurité française, Etat compris. Et si l’année dernière, l’événement était axé sur les PME et leurs difficultés à se faire entendre face aux gros acteurs de la cybersécurité, les tables rondes du 4 septembre tournaient plutôt autour des nouvelles pratiques dans la filiale.
Autour de l’intelligence artificielle et de la sécurité appliquée à la donnée, Hexatrust a choisi de mettre en valeur le sujet de la sécurité dès la conception. C’est-à-dire l’intégration des briques de sécurité dès la création de l’infrastructure et des systèmes embarqués dans un produit. « C’est une évolution majeure parce que nous avons aujourd’hui l’opportunité d’écrire un Internet 2.0 qui embarque ses composantes-là » s’émerveille Jean-Noël de Galzain, président d’Hexatrust, « car les systèmes qui vont émerger seront développés aux standards security/privacy by design et RGPD, donc aux standards européens. »
Faire de la sécurité by design une culture
L’idée c’est de faire de ce concept une culture. Et comme le note Faïz Djellouli, PDG de la société de conseil et formation Holiseum, la sécurité est en train de gagner en maturité et devient un argument de vente pour les entreprises. Car elle peut devenir l’élément différenciateur qui fera qu’un client choisira leur produit plutôt qu’un autre. Sans compter qu’intégrer les éléments de sécurisation dès la conception coûterait moins cher qu’a posteriori.
Pour montrer comment cette culture de la sécurité intégrée en amont est progressivement mise en place dans l’entreprise, Hexatrust a fait venir quelques témoins sur scène. Stephan Guidarini dans un premier temps, responsable du pôle consulting d’Axians et également président du CIPMed - marque de Technologies de l’Information et de Communication de Vinci Energies – indique que cette dernière tend à intégrer la sécurité à chaque étape de leurs projets d’infrastructures réseau. « Nous utilisons le design thinking pour faire de l’analyse de risques et nous essayons d’imposer une présence du service cybersécurité lors de la phase de conception » assure-t-il. Sujet marronnier depuis près de quinze, la place du RSSI dans l’entreprise tend à se diluer dans tous les métiers de l’entreprise.
Aucuns retards et de moindres coûts
C’est le point de vue de Nicolas Vermuseau, RSSI de Keolis, opérateur privé de transports publics. Depuis un an, cette société a intégré la security by design dans ses processus. Et son responsable de la sécurité confirme une baisse des coûts a priori et ne note aucuns retards liés à l’application de la sécurité dans les projets. Mais lui-même indique qu’il est encore trop tôt pour tirer des conclusions claires.
Cette démarche d’intégrer la sécurité en amont est venue, chez Keolis, d’une problématique de capacité à accompagner les projets métiers. L’entreprise n’a pas les ressources nécessaires pour tous les protéger et a dû définir ceux à fort besoin de sécurité, comme les applications qu’utilisent les conducteurs dont les données sont sensibles. « Et globalement les projets passent au security by design assez facilement car les métiers le voient comme quelque chose de moderne » remarque Nicolas Vermuseau.
Plusieurs niveaux de maturité
La raison à cette intégration progressive des briques de sécurité en amont est l’augmentation exponentielle des cyberattaques, qui touchent aussi les industries désormais, selon Faïz Djellouli. Mais tous les métiers ne sont pas aussi matures sur le sujet. Coralie Héritier, directrice générale d’IDnomic, rappelle que certains secteurs intègrent la sécurité à leurs processus depuis longtemps « parce que c’est vital pour eux et leurs clients finaux » : les transports, la défense, la santé notamment. Le secteur bancaire est plutôt bien placé sur ces sujets aussi. Mais « pour des industries plus lourdes, c’est plus compliqué » explique Stephan Guidarini « car les matériels sont vieillissants, les projets sont coûteux, etc. »
Mais avec l’arrivée du RGPD, toutes les entreprises sont presque « un peu obligé[es] de faire [ces imbrications de sécurité en amont], c’est du travail et des processus qu’on n’avait pas avant et qui prennent du temps à intégrer » avoue le représentant d’Axians. Car pour respecter les données personnelles des utilisateurs, l’intégration de solutions de gestion de la vie privée en amont devient obligatoire. « Mais on essaie de retourner cela de manière à apporter de la valeur à ces données » ajoute Stephan Guidarini.